最近有很多人說起服務(wù)器任務(wù)管理器發(fā)現(xiàn)大量未知用戶名登陸,占用內(nèi)存比較嚴(yán)重�,很顯然這是遭到了cc攻擊,那么我們怎么防范cc攻擊呢�。那么就來給大家科普一下。
CC攻擊是什么�?那怎么做防護(hù)才能避免WEB服務(wù)器被CC攻擊呢?今天墨者安全給大家分享下對CC攻擊的見解吧���!
CC攻擊是DdoS攻擊(分布式拒絕服務(wù))的一種���,相比其它的DDoS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見不到虛假IP�����,見不到特別大的異常流量�����,但造成服務(wù)器無法進(jìn)行正常連接,一條ADSL的普通用戶足以掛掉一臺高性能的Web服務(wù)器�����。因此稱其為“Web殺手”毫不為過�����。最讓站長們憂慮的是這種攻擊技術(shù)含量不是很高�,利用工具和一些IP代理,一個初���、中級的電腦水平的用戶就能夠?qū)嵤〥DoS 攻擊����。簡單點(diǎn)講服務(wù)器像是一個超市��,而CC就像是一大批正常進(jìn)店的顧客���,他們各種看物品����,不斷地詢問店員各種關(guān)于物品的問題,就是不付款�。導(dǎo)致真正有需求的客戶和店員交涉不上,也沒法進(jìn)入付款流程�����。
CC攻擊有一定的隱蔽性�����,怎么確定服務(wù)器正在遭受CC攻擊呢?可以通過下面三個方法來確定:
(1)一般遭受CC攻擊時�����,Web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象����, 因為這個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了�����,正常的連接也就被中止了�。我們可以通過在命令行下輸入命令netstat -an來查看,如果看到類似如下有大量顯示雷同的連接記錄基本就可以確定被CC攻擊了。 這就是命令行確認(rèn)法
TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 ……其中“192.168.1.6”被用來代理攻擊主機(jī)的IP����,“SYN_RECEIVED”是TCP連接狀態(tài)標(biāo)志,意思是“正在處于連接的初始同步狀態(tài) ”�,表明無法建立握手應(yīng)答處于等待狀態(tài)。這樣的記錄一般都會有很多條�,表示來自不同的代理IP的攻擊。 這就是攻擊的特征����。
(2)上述方法需要手工輸入命令且如果Web服務(wù)器IP連接太多看起來比較費(fèi)勁,我們可以建立一個批處理文件��,通過該腳本代碼確定是否存在CC攻擊���。打開記事本輸入如下代碼保存為CC.bat:
@echo off
time /t >>log.log
netstat -n -p tcp |find ":80">>Log.log
notepad log.log
exit
上面腳本的含義是篩選出當(dāng)前所有的到80端口的連接��。當(dāng)我們感覺服務(wù)器異常是就可以雙擊運(yùn)行該批處理文件����,然后在打開的log.log文件中查看所有的連接�����。如果同一個IP有比較多的到服務(wù)器的連接,那就基本可以確定該IP正在對服務(wù)器進(jìn)行CC攻擊���。
(3)上面的兩種方法有個弊端���,只可以查看當(dāng)前的CC攻擊,對于確定Web服務(wù)器之前是否遭受CC攻擊就無能為力了��,此時我們可以通過Web日志來查���,因為Web日志忠實地記錄了所有IP訪問Web資源的情況�。通過查看日志我們可以確認(rèn)Web服務(wù)器之前是否遭受到CC攻擊�����,并確定攻擊者的IP然后采取進(jìn)一步的措施�。
Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下����,該目錄下用類似httperr1.log的日志文件,這個文件就是記錄Web訪問錯誤的記錄��。管理員可以依據(jù)日志時間屬性選擇相應(yīng)的日志打開進(jìn)行分析是否Web被CC攻擊了�����。默認(rèn)情況下,Web日志記錄的項并不是很多����,我們可以通過IIS進(jìn)行設(shè)置,讓W(xué)eb日志記錄更多的項以便進(jìn)行安全分析�。
確定Web服務(wù)器正在遭受CC攻擊,那如何進(jìn)行有效的防范呢?
(1)一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊�,比如我們的網(wǎng)站域名是“www.abc.com”,那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實施攻擊�����。 對于這樣的攻擊我們要在IIS上取消此域名的綁定�,讓CC攻擊失去目標(biāo)。取消域名綁定后Web服務(wù)器的CPU馬上恢復(fù)正常狀態(tài)�����,通過IP進(jìn)行訪問會顯示連接一切正常�����。但是缺點(diǎn)是:取消或者更改域名對于別人的訪問帶來不變�,對于針對IP的CC攻擊是無效的�,就算更換域名攻擊者發(fā)現(xiàn)之后�����,他也會對新域名實施攻擊���。
(2)如果發(fā)現(xiàn)針對域名的CC攻擊��,我們可以把被攻擊的域名解析到127.0.0.1這個地址上�。我們知道127.0.0.1是本地回環(huán)IP是用來進(jìn)行網(wǎng)絡(luò)測試的����,同時實現(xiàn)攻擊者自己攻擊自己的目的,即使攻擊者有很多的肉雞或者代理也會宕機(jī)�。 當(dāng)我們的Web服務(wù)器遭受到CC攻擊時,把被攻擊的域名解析到國家權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站���,讓其網(wǎng)警來管����。如今Web站點(diǎn)都是利用類似“新網(wǎng)”這樣的服務(wù)商提供的動態(tài)域名解析��,可以登錄進(jìn)去之后進(jìn)行設(shè)置�。
(3).Web服務(wù)器通過80端口對外提供服務(wù),因此攻擊者實施攻擊就以默認(rèn)的80端口進(jìn)行攻擊����,所以,我們可以修改Web端口達(dá)到防CC攻擊的目的�����。運(yùn)行IIS管理器���,定位到相應(yīng)站點(diǎn)����,打開站點(diǎn)“屬性”面板�����,在“網(wǎng)站標(biāo)識”下有個TCP端口默認(rèn)為80�,我們修改為其他的端口就可以了。
(4).我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP��,可以在IIS中設(shè)置屏蔽該IP對Web站點(diǎn)的訪問��,我們可以設(shè)置授權(quán)訪問加入白名單�����,也可以設(shè)置拒絕訪問加入黑名單從而達(dá)到防范IIS攻擊的目的�����;蛘呓M策略封閉IP段����。
CC攻擊其實就是DDOS攻擊的一種,防護(hù)原理都是差不多的�����,都是會造成業(yè)務(wù)的崩潰給企業(yè)造成巨大損失的�����,所以在DDOS攻擊防御上不可忽視�����。尤其是一些×××�����,網(wǎng)站��,APP���,金融和交易所����,這屬于DDOS攻擊的重災(zāi)區(qū)����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
